Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1092 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT Slow into port 80

Sasben
I have testing a few DNAT rules, like 3389 etc and they all seem to work fairly quickly.

One issue I am having is that when you connect to my external address for a simple port 80 DNAT, it takes upwards of 30 seconds to get the first html screen painted and from that point on, browsing the site is quick/normal again. Just seems to be the first fetching of the page.

- The FW logs shows the NAT rule being used. 
- I have disabled everything including IPS to test. No Change
- Internal Host is a VMWare guest, with vmware tools installed and the E1000 network setting

- DNAT to non-VM's on port 80 has the same slow fetch on initial requests.


Going to 443 for the user portal on the main server is very quick.. Just seems to be the DNAT into the VM host (or other non VM hosts) 

- MTU is fine at 1500


Firmware version: 8.201
CPU 1%
RAM 5% of 7.9 GB
Swap 0% of 1.0 GB
Log Disk 0% of 356.0 GB
Data Disk 0% of 271.8 GB


Any ideas?


This thread was automatically locked due to age.
  • 0
    One thing to add..

    The firewall log is showing two connections.. Not sure if it is doing some loop on the interfaces?  The FW is configured in a basic manner.


    Connection using NAT TCP x.x.x.110:45731→ x.x.x.247:80 [SYN] len=60 ttl=253 tos=0x00 srcmac=0:1d:b5:70:1a:7f dstmac=c4:3d:c7:80:56:30

    Connection using NAT TCP 192.168.0.3 :41362→x.x.x.247:80 [SYN] len=60 ttl=63 tos=0x00 srcmac=78:2b:cb:9c:5:9b


    Seems like it comes in from the external interface, connects through, then the web server itself, tries to come back via the external interface to fetch its contents?

    Is that the issue?



    My FW rules

    Internal->Any->Any
    Any->HTTP->External WAN Address   (I think this is the issue??)


    DNAT
    ANY->HTTP->External WAN Address
  • 0
    Funnily enough.. Full NAT makes it work.


    Full NAT TESTING
    Traffic selector: Any → HTTP → External (WAN) (Address)
    Source translation: Internal (Address)
    Destination translation: SERVER HTTP
  • 0
    Your webserver may be doing something weird.

    What are the 3 IP addresses from the log?

    Barry
  • 0
    Any->HTTP->External WAN Address (I think this is the issue??)

    That should be 'Any -> HTTP -> Server HTTP', but, if you checked 'Automatic packet filter rule:' in the DNAT, that shouldn't be necessary.

    Funnily enough.. Full NAT makes it work.

    First, make sure your Server has the Astaro's internal address as its default gateway.  Next, make sure the "Server HTTP" definition is bound to > and not a specific interface.

    Cheers - Bob
  • 0 in reply to BAlfson
    That should be 'Any -> HTTP -> Server HTTP', but, if you checked 'Automatic packet filter rule:' in the DNAT, that shouldn't be necessary.


    If I create this rule (with Server HTTP), it just drops the packets in the log.
    If I make it Any -> HTTP -> WAN Address, I get the green packet filter log entries. 


    First, make sure your Server has the Astaro's internal address as its default gateway.  Next, make sure the "Server HTTP" definition is bound to > and not a specific interface.

    Cheers - Bob


    The Server HTTP is set to >.


    If I was to create a DNAT rule without selecting the Automatic packet filter, the following works.....

    FW Rule:  Any -> HTTP -> WAN Address
    DNAT Rule: 
        Traffic selector: Any → HTTP→External (WAN) (Address)
        Destination translation: Server HTTP
     
    Cheers guys